Los debates sobre seguridad cibernética en Australia durante las últimas semanas se han centrado en gran medida en la aprobación del controvertido proyecto de ley de Asistencia y Acceso del gobierno. Pero si bien el acceso del gobierno a los mensajes cifrados es un tema importante, proteger a Australia de amenazas podría depender más de la tarea de desarrollar un plan de respuesta de seguridad cibernética sólido y sólido.

Australia lanzó sus primeros acuerdos de gestión de incidentes cibernéticos (CIMA) para el estado, territorio y gobiernos federales el 12 de diciembre. Es un paso loable hacia una estrategia nacional integral de defensa civil para el ciberespacio.

Al menos una década después de que el gobierno presagiara la necesidad por primera vez, este es solo el primer paso en un camino que exige mucho más desarrollo. Más allá de CIMA, el gobierno debe explicar mejor al público las amenazas únicas que plantean los incidentes cibernéticos a gran escala y, sobre esa base, Involucrar al sector privado y a una comunidad más amplia de expertos para abordar esas amenazas únicas.

Australia está mal preparada

El objetivo de las nuevas disposiciones sobre incidentes cibernéticos es reducir el alcance, impacto y gravedad de un "incidente cibernético nacional".

Un incidente cibernético nacional se define como de posible importancia nacional, pero menos grave que una "crisis" que desencadenaría el Marco de Gestión de Crisis del Gobierno de Australia (AGCMF) del gobierno.

Australia no está actualmente preparada para responder a un incidente cibernético importante, como los ataques de Wannacry o NotPetya en 2017.

Wannacry interrumpió gravemente el Servicio Nacional de Salud del Reino Unido, a un costo de 160 millones de dólares australianos. NotPetya cerró la empresa de contenedores de envío más grande del mundo, Maersk, durante varias semanas, costando 500 millones de dólares australianos.

Cuando los costos de los ciberataques aleatorios son tan altos, Es vital que todos los gobiernos australianos tengan planes de respuesta coordinados a incidentes de alta amenaza. La CIMA establece acuerdos de coordinación interjurisdiccional, funciones y responsabilidades, y principios de cooperación.

Una cibercrisis de alto nivel que desencadenaría el AGCMF (un proceso que en sí mismo parece un poco mal preparado) es una que "... da como resultado una interrupción sostenida de los servicios esenciales, severos daños económicos, una amenaza para la seguridad nacional o la pérdida de vidas ".

Más expertos cibernéticos y ejercicios de incidentes cibernéticos

Con solo siete páginas de extensión, en formato de folleto brillante, el CIMA no describe protocolos específicos de gestión de incidentes operativos.

Esto dependerá de los gobiernos estatales y territoriales para negociar con el Commonwealth. Eso significa que los protocolos desarrollados pueden estar sujetos a prioridades presupuestarias en competencia, apetito político, niveles divergentes de madurez cibernética, y, Más importante, requisitos de personal.

Australia tiene una grave crisis en la disponibilidad de personal cibernético calificado en general. Este es particularmente el caso en áreas especializadas requeridas para la gestión de incidentes cibernéticos complejos.

Las agencias gubernamentales luchan por competir con las grandes corporaciones, como los grandes bancos, para los reclutas de alto nivel.

La crisis de competencias se ve agravada por la falta de programas de educación y formación de alta calidad en Australia para esta tarea especializada. Nuestras universidades, en la mayor parte, no enseñe, ni siquiera investigue, incidentes cibernéticos complejos a una escala que pueda comenzar a satisfacer la necesidad nacional.

El gobierno federal debe actuar rápidamente para fortalecer y formalizar acuerdos de colaboración con socios no gubernamentales clave, en particular el sector empresarial, pero también investigadores y grandes entidades sin ánimo de lucro.

Proveedores de infraestructura crítica, como las empresas de electricidad, debería estar entre las primeras empresas seleccionadas para la colaboración debido a la escala de posibles consecuencias si fueran atacadas.

Para ayudar a lograr esto, CIMA describe planes para institucionalizar, por primera vez, ejercicios periódicos de incidentes cibernéticos que abordan las necesidades de todo el país.

Se necesita una mejor planificación a largo plazo

Si bien estos movimientos son un buen comienzo, hay tres tareas a más largo plazo que necesitan atención.

Primero, el gobierno necesita construir un narrativa pública creíble y duradera en torno al propósito de sus políticas de incidentes cibernéticos, y programas de ejercicio asociados.

El exministro de Seguridad Cibernética Dan Tehan ha hablado de una sola tormenta cibernética, El ex primer ministro Malcolm Turnbull habló de una tormenta cibernética perfecta (varias tormentas juntas), y el Coordinador Cibernético Alastair McGibbon hablaron de una catástrofe cibernética como la única amenaza existencial que enfrentaba Australia.

Pero hay poca articulación en el dominio público de lo que realmente significan estas ideas.

Los nuevos acuerdos de gestión de incidentes cibernéticos están destinados a operar por debajo del nivel de crisis cibernética nacional. Pero el país necesita urgentemente una estrategia de defensa civil para el ciberespacio que aborde ambos niveles de ataque. No hay una mención significativa de las amenazas cibernéticas en el sitio web del Centro Australiano de Conocimientos sobre Resiliencia ante Desastres.

Esta es una forma completamente nueva de defensa civil, y puede que necesite una nueva forma de organización para llevarlo a cabo. Un nuevo brazo dedicado de una agencia existente, como los Servicios Estatales de Emergencia (SES), es otra posible solución.

Uno de nosotros (Greg Austin) propuso en 2016 la creación de un nuevo "cuerpo civil cibernético". Este sería un servicio disciplinado que dependería de los compromisos a tiempo parcial de las personas mejor capacitadas para responder a las emergencias cibernéticas nacionales. Un cuerpo civil cibernético también podría ayudar a definir las necesidades de formación y contribuir a los paquetes de formación nacionales.

La segunda tarea corresponde a la empresa privada, que enfrentan costos potencialmente abrumadores en ataques cibernéticos aleatorios.

Deberán desarrollar su propio cuerpo de experiencia en simulaciones y ejercicios cibernéticos. Subcontratar dichas responsabilidades a empresas consultoras, o informes puntuales, produciría resultados dispersos. Cualquier "lección aprendida" dentro de las empresas sobre la gestión de contingencias podría no consolidarse y compartirse con la comunidad empresarial en general.

La tercera tarea de todas las partes interesadas es movilizar una comunidad de conocimiento en expansión dirigida por investigadores del mundo académico, gobierno y sector privado.

Lo que existe en este momento es minimalista, y parece rehén de las preferencias de un puñado de altos funcionarios del Centro Australiano de Seguridad Cibernética (ACSC) y del Departamento de Asuntos Internos que pueden no estar en el cargo dentro de varios años.

La defensa civil cibernética es responsabilidad de toda la comunidad. Australia necesita un comité permanente nacional para la gestión de emergencias de seguridad cibernética y la resiliencia que sea una asociación equitativa entre el gobierno, negocio, y especialistas académicos.

Este artículo se ha vuelto a publicar de The Conversation con una licencia de Creative Commons. Lea el artículo original.